有了上面的知识,让我们回顾一下先前讨论的问题,首先,用户调用API的recv函数,程序运行到recv的入口地址处,此时堆栈中拥有用户调用recv的参数和用户代码中CALL [recv]的下一条指令的地址。堆栈如下图:
堆栈指针
[ESP]
堆栈的内容
堆栈内容的含义
0x00000100
0
参数
0x000000fc
len
参数
0x000000f8
buf
参数
0x000000f4
S
参数
0x000000f0
RetUserAddress
用户调用recv的下一条指令的地址
然后程序指针EIP被修改为recv入口处的地址,而入口地址处有一条简单的CALL指令,它使程序将recv的第6个字节的地址压入栈中(因为CALL XXXX占用5个字节,第六个字节被认为为返回地址),然后跳转到我们的无参数无返回值的通用替换函数中去了,好了看看现在堆栈中都有些什么?如图:
堆栈指针
[ESP]
堆栈的内容
堆栈内容的含义
0x00000100
0
参数
0x000000fc
len
参数
0x000000f8
buf
参数
0x000000f4
s
参数
0x000000f0
RetUserAddress
用户调用recv的下一条指令的地址
0x00000ec
RetrecvAddress
recv的第六个字节的地址
首先是参数,其次是用户调用recv后的返回值,然后是recv调用我们的替换函数中的返回值,紧接着就像刚才提到的那样,程序将EBP当前内容压入栈中。如图
堆栈指针[ESP]
堆栈的内容
堆栈内容的含义
0x00000100
0
参数
0x000000fc
len
参数
0x000000f8
buf
参数
0x000000f4
S
参数
0x000000f0
RetUserAddress
用户调用recv的下一条指令的地址
0x00000ec
RetrecvAddress
recv的第六个字节的地址
0x000000e8
OldEBP
保存的旧的EBP的内容,然后[EBP]= 0x000000e8
0x000000e4
OldEBX
保存的旧的EBX的内容
0x000000e0
OldESI
保存的旧的ESI的内容
0x000000dc
OldEDI
保存的旧的EDI的内容,此时[ESP]=0x000000dc
此时我们可以看到,[EBP]为保存的ebp的值,现在对我们没有用处,函数返回前用于恢复EBP的值,[EBP+4]是recv函数的CALL XXXX后面指令的地址(也就是第六个字节的地址),我们可以通过将此值减去5来得到recv的入口地址,这样在我们所有hook的api函数的列表中进行检索,就可以匹配出用户调用的是哪一个API函数,从而为后面恢复和再次改变该API的入口5字节做准备,因为调用任何我们需要HOOK的API程序都会进入到这个无返回值无参数的函数,所以通过这种方法找到当前HOOK的是哪一个API,从而可以区分不同的API进行特殊的处理。[EBP+8]保存的是用户调用recv后的返回地址,由于我们执行完替换函数后,应该返回到这个地址,而不应该返回到recv的第6个字节处执行,所以我们还是需要保存下这个值,以便在我们用ret返回前把它压栈从而使程序返回到用户调用recv的下一条指令处继续运行。
我们先定义如下函数:
void CommonFunc(void);
我们现在实现它,请注意参考上面堆栈表格。
void CommonFunc(void)
{
DWORD pdwCall; // recv入口地址
DWORD dwRtAddr; // 我们的函数真正要返回的地址
DWORD* pdwParam; // 第一个参数的地址
DWORD dwParamCount; // 参数个数
DWORD dwParamSize; // 所有参数所占用的大小应该=4* dwParamCount
DWORD dwRt; // 返回值
_asm
{
lea EAX,[EBP+4] // recv入口处第6个字节的地址
mov [pdwCall],EAX
mov EAX,[EBP+8] // 用户调用recv(即call XXXX)后面一条指令的地址
mov [dwRtAddr],EAX
lea EAX, [EBP+12] // 第一个参数的地址!
mov [pdwParam],EAX
}
(*pdwCall) -= 5; // 获得recv入口地址
HOOKINFO *hi = findHookInfo(pdwCall); // 通过原始API的入口地址获得此API的相关信息
memcpy(pdwCall,hi->OrgApi5bytes,5); // 恢复被调用API的前5个字节,使下面的代码可以正常调用
// 下面准备进入用户针对此API的替换函数,现准备参数
dwParamCount = hi->ParamCount; // 得到本API的参数个数
dwParamSize = 4*dwParamCount; // 计算参数所占用大小
DWORD pdwESP;
_asm
{
sub esp,[dwParamSize] // 将栈增加,可以容纳参数
mov [pdwESP],esp // 保存当前栈的地址
}
memcpy(pdwESP,pdwParam,dwParamSize);//将用户传递的参数拷贝到栈中
hi->myAPIFunc(); // 调用用户针对此API的替换函数
_asm
{
mov [dwRt],eax // 保存返回值
}
// 如果是CreateProcess,那么继续hook它
pPi = (PROCESS_INFORMATION*)pdwParam[9];
if(strcmpi(pai->szOrgApiName,"CreateProcessA") != 0 || strcmpi(pai->szOrgApiName,"CreateProcessW") != 0)
{
InjectDll(pPi->dwProcessId,m_szDllPathName);
}
// 下面再次修改原始API的前5个字节
memcpy(pdwCall,JMPCODE,5); // #define JMPCODE 0xE8
DWORD* pdwapi = pdwCall[1];
pdwapi[0] = (DWORD) CommonFunc – (DWORD)pdCall – 5; // CommonFunc函数地址的偏移
// 下面准备返回的操作
_asm
{
add esp,[dwParamSize] // 清理我们为了调用真正的替换函数而分配的堆栈里的参数
// 下面弹出所有保存的寄存器值(按照入栈的逆顺序)
pop EDI // 恢复EDI
pop ESI // 恢复ESI
pop EBX // 恢复EBX
// 我们没有改动过EBP的值,所以EBP指向堆栈中OldEBP的位置
mov ESP,EBP
pop EBP // 恢复EBP
// 由于堆栈中还剩下参数和两个返回地址(我们真正要返回的地址和原始API中的第6个字节的地址),所以我们把这些数据也清除出堆栈
add ESP,8 // 清除两个返回地址
mov ECX,[dwParamSize] // 获得参数的大小
add ESP,ECX // 清除参数
mov EAX,[dwRt] // 设置返回值
// 由于调用ret返回时,程序先从堆栈中取出返回地址,所以我们把要真正返回的地址压入堆栈中
mov EDX,[dwRtAddr] // 设置返回地址
push EDX
ret // 返回
}
}
最后要注意得一点是,如果要执行得API函数是CreateProcess,那么应该把它新开启得进程也HOOK掉。以上我们了解了通用替换函数的原理,那么让我们深入的讨论CHookApi类,并且实现它。
--------------------------------------联系我(liutao_free@sohu.com)
--------------------------------------联系我(liutao_free@sohu.com)
联系我(liutao_free@sohu.com)
